AXURE Technologies S.A reconoce la información como un activo indispensable para asegurar la correcta prestación de sus servicios, por lo cual, la organización está comprometida con la mejora continua de sus procesos, y el cumplimiento delos requisitos legales, contractuales y otros aplicables incluyendo estándares internacionales de la industria en materia de Seguridad de la Información, con un enfoque centrado en la satisfacción de las necesidades de todas las partes interesadas frente a su cuidado y protección.
Para asegurar dicho enfoque, AXURE Technologies S.A se compromete a:
• Implementar directrices de seguridad alineadas con las mejores prácticas internacionales para mejorar continuamente la postura de seguridad y adaptarse a los cambios tecnológicos y normativos. Las directrices deberán estar en concordancia con la correcta gestión de riesgos y ser revisadas periódicamente.
• Garantizar la protección de la información mediante los principios de confidencialidad, integridad y disponibilidad (CIA). Estos principios se aplicarán de acuerdo con la clasificación de la información, asegurando que se proteja adecuadamente y que el acceso, uso y tratamiento de esta, sea controlado según los niveles de sensibilidad haciendo énfasis en el tratamiento de datos personales.
• Establecer un inventario de activos de información de manera que cada uno de ellos cuente con un responsable designado y que se aplique el control adecuado según su nivel de riesgo y clasificación. Las actualizaciones de dicho inventario deberán realizarse cuando haya cambios significativos en la infraestructura.
• Evaluar de manera sistemática y periódica los riesgos de seguridad de la información según el enfoque basado en riesgos. Los riesgos identificados deberán ser gestionados según las estrategias definidas: mitigación, transferencia, aceptación o evitación, con mecanismos de seguimiento, revisión y mejora continua.
• Evaluar la información en términos de seguridad y aplicar los mecanismos de clasificación, resguardo y protección adecuados.
• Establecer criterios claros para la aceptación del riesgo, identificando en qué circunstancias es aceptable asumir un riesgo, y en qué condiciones se debe mitigar o transferir. Estos criterios estarán alineados con la estrategia global de gestión de riesgos y serán revisados periódicamente para ajustarse a los cambios en el entorno de riesgos.
• Categorizar y priorizar los riesgos de seguridad de la información, según su impacto y probabilidad, para asegurar que los recursos y esfuerzos de mitigación se concentren en los riesgos más críticos para la organización.
• Conservar la documentación del análisis y tratamiento de riesgos, asegurando que los registros estén disponibles para auditorías internas y externas y que todos los procesos de gestión de riesgos sean accesibles para las partes interesadas.
• Reforzar la confiabilidad y seguridad de las tecnologías de la información utilizadas por la organización mediante la implementación de controles de seguridad técnicos, como sistemas de monitoreo y protección contra malware, así como la ejecución de auditorías y pruebas de vulnerabilidad periódicas que incluyan simulacros y evaluaciones proactivas.
• Desarrollar un plan de continuidad del negocio y recuperación ante desastres para asegurar que, en caso de incidentes o fallos, la organización pueda continuar sus operaciones sin interrupciones significativas. Este plan debe estar alineado con las estrategias de gestión de incidentes y responder a los riesgos de ciberseguridad y fallos tecnológicos.
• Realizar auditorías internas periódicas del SGSI para verificar la efectividad de los controles implementados, asegurando que estos se ajusten a los riesgos identificados y a las necesidades cambiantes de la organización. Las auditorías deberán ser programadas anualmente y contar con responsables definidos.
• Capacitar al personal de manera continua y progresiva en temas de seguridad de la información, a través de sesiones formativas anuales, y campañas de sensibilización y concientización trimestrales que refuercen la cultura de seguridad en la organización.
• Definir acciones para proteger los datos sensibles y e implementar las mejores prácticas en el manejo de la información.
• Capacitar al personal ante posibles brechas de seguridad, identificando áreas de mejora en los procedimientos establecidos y asegurando que todos los trabajadores estén informados y listos para actuar en caso de incidentes de seguridad.
• Supervisar el cumplimiento de los controles de acceso físicos y lógicos en los servidores, dispositivos móviles y otros medios de almacenamiento de la información. Las inspecciones al control de acceso se realizarán de forma trimestral y se documentará cualquier cambio o ajuste en los permisos y accesos asignados.
• Involucrar a proveedores y socios comerciales cuando aplique en las acciones que realiza AXURE Technologies S.A para mantener la seguridad de la información, por medio del control de los riesgos asociados a terceros. Se requerirá que todos los proveedores firmen acuerdos de confidencialidad y cumplan con los requisitos del SGSI de la organización aplicables a su producto y/o servicio.
• Evaluar la seguridad de la información desde las etapas iniciales de los proyectos tecnológicos, para que los controles estén diseñados y aplicados desde el inicio de cualquier iniciativa tecnológica.
• Implementar controles de acceso físicos y lógicos para acceder a la información que se encuentre protegida en medios físicos.
• Gestionar incidentes de seguridad de manera rápida y efectiva, implementando un proceso estructurado de respuesta a incidentes que incluya la identificación, contención, erradicación y recuperación. Además, se realizarán evaluaciones de los incidentes para identificar lecciones aprendidas y oportunidades de mejora en el SGSI.
• Cumplir con las normativas y regulaciones aplicables en materia de tratamiento de datos personales y otras leyes relevantes en el ámbito de la seguridad de la información. Esto incluye el cumplimiento del Reglamento General de Protección de Datos, la Ley de Protección de Datos Personales y otros requisitos específicos que afecten a la organización y a las partes interesadas.
• Asegurar una comunicación fluida y continua de los riesgos a las partes interesadas relevantes, incluyendo tanto a los responsables de la toma de decisiones como a aquellos encargados de gestionar y mitigar los riesgos identificados.
• Asignar los recursos adecuados para la gestión de la seguridad de la información, tanto en términos de personal capacitado como en herramientas tecnológicas de última generación, que permitan implementar controles eficaces y adaptables a las necesidades de la organización y su evaluación de riesgos.
• Mantener la mejora continua del SGSI mediante revisiones y evaluaciones periódicas de su desempeño, garantizando que se adapten los controles a las nuevas amenazas, vulnerabilidades y cambios en el entorno tecnológico o regulatorio.
• Proteger y resguardar la información generada, procesada, recibida y gestionada, así como promover el uso adecuado de los recursos tecnológicos y de la información propiedad de AXURE Technologies.
• Incluir a los proveedores en acciones inherentes al cuidado de la información propiedad de AXURE Technologies y sus partes interesadas cuando aplique, apoyados en una documentación clara y específica que permita controlar los riesgos asociados a las interacciones con terceros.
• Desarrollar un enfoque más detallado en la evaluación continua del desempeño de proveedores en cuanto a la seguridad de la información, asegurando que se realicen reevaluaciones regulares y se monitoree el cumplimiento de los requisitos de seguridad de la información establecidos
AXURETechnologies asegura que su enfoque integral de seguridad de la información se alinea con los objetivos de calidad, seguridad, salud en el trabajo y gestión ambiental:
• Asegurar la satisfacción del cliente y la mejora continua mediante el cumplimiento de los requisitos de calidad relacionados con la seguridad de la información, asegurando que los controles implementados garanticen la protección adecuada de la información de los clientes.
• Revisar periódicamente la efectividad de los procesos de seguridad de la información, permitiendo un enfoque basado en la calidad para la prestación de servicios seguros y confiables.
• Proteger la seguridad y salud del personal al proporcionarles herramientas seguras y capacitaciones continuas sobre los riesgos asociados al manejo de la información, promoviendo un entorno de trabajo seguro, ya sea en oficinas o en campo.
• Incluir evaluaciones de riesgos ergonómicos y psicosociales en relación con el uso de herramientas tecnológicas y manejo de información, asegurando que el personal no se vea afectado en su bienestar físico o mental por fallos de seguridad de la información.
• Fomentar el uso responsable de los recursos tecnológicos, asegurando que las prácticas de seguridad de la información minimicen el impacto ambiental, promoviendo la reutilización y reciclaje de equipos electrónicos y la reducción del uso de papel.
• Incluir controles para el manejo seguro y ambientalmente responsable de los activos tecnológicos cuando llegan al final de su vida útil, asegurando una gestión integral adecuada, de acuerdo con lo establecido en el Programa de Gestión Ambiental de la organización.
La alta dirección de AXURE Technologies S.A se compromete a revisar anualmente esta política de seguridad de la información para asegurar su alineación con los objetivos estratégicos del SGI, los cambios en el entorno de riesgo y los requisitos legales y normativos aplicables. Además, garantizará la adecuada divulgación de la política en todos los niveles de la organización y entre todas las partes interesadas.
Esta política se firma en la ciudad de Bogotá D.C. a los 07 días del mes de enero del 2025.
René Ramirez
CEO – AXURE Technologies S.A
© 2025 AXURE Technologies. Todos los derechos reservados. El contenido de este sitio web, incluyendo textos, imágenes, logotipos, gráficos, videos y cualquier otro material, es propiedad exclusiva de AXURE Technologies y está protegido por las leyes de derechos de autor y otras normativas aplicables. Queda estrictamente prohibida su copia, reproducción, distribución, modificación, publicación, transmisión o uso, total o parcial, sin el consentimiento previo y por escrito de AXURE Technologies